AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 人工智能平台 PAI 安全合规 权限管理

权限管理

更新时间:
产品详情
我的收藏

使用PAI涉及两方面的授权:RAM用户授权(开通和使用云产品)以及服务授权(PAI访问其他阿里云服务)。

image

RAM用户授权

主账号无需额外授权,RAM用户必须在获得授权后,才能登录控制台或使用API访问阿里云账号下的资源。本节介绍在PAI的使用场景下如何通过以下几种方式给RAM用户授权:

授权RAM用户开通PAI及购买PAI资源

开通PAI及购买PAI资源需要RAM用户添加权限策略AliyunPAIFullAccess

说明

AliyunPAIFullAccess权限范围较大,建议您直接使用主账号操作。

授权RAM用户使用PAI子产品

PAI提供了通过工作空间管理权限的能力。可根据需要将RAM用户添加为工作空间的成员,并给不同RAM账号授予资源管理员(主账号/通过RAM授权)工作空间管理员/负责人算法开发算法运维标注管理员访客成员角色的权限。各角色权限请参见附录:角色及权限列表

  • iTAG还需参见iTAG人员分配进一步设置权限。

  • EAS提供了产品系统策略为RAM用户授权。例如:

    • EAS的管理权限:AliyunPAIEASFullAccess

    • EAS的只读权限:AliyunPAIEASReadOnlyAccess

  • AI加速大部分功能,仅需拥有对应模型开发、训练、推理的子产品操作权限即可,无需额外授权。仅使用数据集加速时,RAM账号操作需被授予AliyunPAIFullAccessAliyunDatasetAccFullAccess权限。

授权RAM用户开通/使用其他云产品

使用PAI会涉及的部分其他云产品见下表:

单击查看PAI依赖的云产品

PAI子产品

依赖的云产品

iTAG

OSS

Designer

OSS、MaxCompute、Flink

DSW

OSS、NAS、VPC

DLC

OSS、NAS、VPC

自动机器学习(AutoML)

OSS、MaxCompute

EAS

OSS、API网关、SLS、VPC、云监控

LangStudio

OSS、SLS、VPC、可观测链路OpenTelemetry

AI资产管理

ACR

说明

建议使用阿里云主账号开通其他云产品(无需额外授权操作),通过RAM权限策略控制RAM账号使用其他云产品的权限(详见下表中RAM账号使用授权)

如果您的RAM用户已添加为工作空间的成员,会根据设置的角色拥有其他云产品的部分权限。如果遇到开通或使用其他云产品的权限问题,可以参考下表进行授权操作。

例如:使用RAM用户登录开通OSS,需要给RAM用户添加系统策略AliyunOSSFullAccess。如果使用OSS遇到权限问题,可参考OSS RAM PolicyRAM授权。

依赖的云产品

开通需要的权限策略

RAM账号使用授权

操作引导

OSS

AliyunOSSFullAccess

OSS RAM Policy

MaxCompute

AliyunBSSOrderAccess、AliyunDataWorksFullAccess

在工作空间为RAM账号添加MaxCompute开发角色,详情请参见创建及管理工作空间

Flink

AliyunStreamFullAccess

RAM授权

开通:开通实时计算Flink

NAS

AliyunNASFullAccess

使用RAM权限策略控制NAS访问权限

API网关

AliyunApiGatewayFullAccess

使用 RAM 管理 API

SLS

AliyunLogFullAccess

SLS鉴权规则

VPC

AliyunVPCFullAccess

VPC授权信息

云监控

AliyunCloudMonitorFullAccess

云监控授权信息

常见操作:步骤一:配置报警联系人步骤二:配置报警规则

可观测链路OpenTelemetry

AliyunARMSFullAccess

借助RAM用户实现分权

开通:快速入门

ACR

AliyunContainerRegistryFullAccess

ACRRAM授权信息

常见操作:使用企业版实例构建镜像

授权PAI访问其他云产品

通常在开通PAI时已完成授权。如果开通时有遗漏的授权操作,在后续的操作界面上会提示需要进行授权,按提示操作完成即可。您也可以参考以下步骤查看授权情况。以Designer访问OSS为例:

  1. 登录PAI控制台

  2. 在左侧导航栏单击开通和授权 > 全部云产品依赖,在Designer功能模块下找到OSS

  3. 操作列查看OSS的授权状态。

    • 如果还未授权,请单击操作列后的去授权,根据界面提示完成授权操作。

    • 如果已完成授权,可单击操作列后的查看授权信息,查看授权的详细信息。

PAI子产品访问其他云服务通过普通服务角色和服务关联角色两种方式。当前全部云产品依赖中没有覆盖所有的情况,您还可按需参见各子产品介绍:

附录

RAM用户添加权限策略(如AliyunPAIFullAccess)

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击目标RAM用户操作列的添加权限

    image

    您也可以选中多个RAM用户,单击用户列表下方的添加权限,为RAM用户批量授权。

  4. 添加权限面板中,为RAM用户添加权限。其中:

    • 资源范围:选择账号级别

    • 权限策略:选择系统策略页签的AliyunPAIFullAccess权限策略。

      重要

      被授予该权限的RAM用户将拥有购买、创建、删除各类资源以及全部工作空间的管理员权限,请谨慎使用。

      可以参见创建自定义权限策略RAM用户设置最小可用的权限策略。

  5. 单击确认新增授权

  6. 单击关闭

创建自定义权限策略

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择权限管理 > 权限策略

  3. 创建权限策略页面,单击脚本编辑页签,配置以下权限策略内容(授予RAM用户查看账号下EAS所有模型服务列表的权限)。

    重要

    请根据RAM用户需要使用的权限,谨慎定义权限策略。

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eas:ListServices"
            ],
            "Resource": "*"
        }
    ]
}

更多信息,请参见通过脚本编辑模式创建自定义权限策略

上一篇:安全合规下一篇:通过访问控制(RAM)管理权限